Cách đây không lâu, dư luận đã từng xôn xao về việc một phụ nữ "bỗng dưng" bị mất 500 triệu VNĐ trong tài khoản ngân hàng VCB. Có rất nhiều tranh cãi xoay quanh vấn đề này, có người thì cho rằng lỗi là do ngân hàng, có người lại cho rằng lỗi là ở người dùng, tức là từ phía người phụ nữ kia.
Đứng trên quan điểm của tôi, "bỗng dưng" là một việc rất khó xảy ra, và mọi việc đều phải có nguyên do của nó. Tôi không rõ người phụ nữ kia đã làm gì nhưng chắc chắn phải có bất thường hoặc sơ hở nào đó trong một chuỗi hành động dẫn tới việc kẻ gian có thể dựa vào đó để rút tiền một cách hợp lệ.
Và để dẫn chứng, tôi sẽ dịch bài viết "Anatomy of a Hack" từ chuyên trang công nghệ The Verge để phân tích sự việc một người Mỹ bị mất $3,000 trong tài khoản như thế nào chỉ sau một đêm mặc dù anh ta là người khá am hiểu về các cơ chế bảo mật trên Internet.
Vào một buổi sáng ngày 21/10/2014, Partap Davis phát hiện mình đã bị mất $3,000. Vào đêm hôm trước trong khi Davis còn đang ngủ, kẻ tấn công đã phá vỡ mọi cơ chế bảo mật mà Davis đã dựng lên. Khi Davis thức dậy thì phần lớn những thứ liên quan tới cuộc sống online của anh đã bị tấn công: 2 tài khoản email, điện thoại, bảo mật 2 lớp và quan trọng nhất là các ví tiền ảo bitcoin.
Davis vốn rất cẩn thận đối với bảo mật online. Anh ta sử dụng password có độ khó cao và không hề nhấn vào bất cứ link đáng ngờ nào. Davis cũng sử dụng bảo mật 2 lớp của Gmail nên mỗi khi anh ta đăng nhập vào tài khoản Gmail từ một máy tính lạ, anh ta phải gõ 6 chữ số bảo mật (OTP) được nhắn tới điện thoại của mình. Davis cũng kiếm được một ít tiền bitcoin và để nó trong 3 ví ảo của 3 dịch vụ là Coinbase, Bitstamp và BTC-E, trong đó Coinbase và BTC-E có bảo mật 2 lớp. Bất cứ khi nào anh ta muốn truy cập vào các ví điện tử này, anh phải xác thực đăng nhập (verify login) bằng Authy, một ứng dụng xác thực trên điện thoại của mình.
Davis đã 40 tuổi. Ngoài bitcoin ra thì anh ta cũng không khác gì những người sử dụng web (web user) bình thường khác. Anh ta kiếm sống bằng nghề lập trình và đang có một cuộc sống ổn định tại Albuquerque, một thành phố thuộc tiểu bang New Mexico, Mỹ.
Sau khi bị tấn công, Davis đã mất nhiều tuần để lần ngược lại những dấu vết thông qua các log truy cập và nhờ sự trợ giúp của các dịch vụ chăm sóc khách hàng. Đồng thời, anh ta cũng nhờ đến sự giúp đỡ của trang The Verge (trang đã đăng bài viết này). Cho đến nay thì chúng ta vẫn chưa biết được chính xác ai là thủ phạm của vụ tấn công nhưng ít nhất bài viết này sẽ cho chúng ta biết kẻ đó đã làm như thế nào.
 |
| Sơ đồ vụ tấn công |
MAIL.COM
Bắt đầu từ email của Davis. Vào thời điểm Davis bắt đầu lập email, anh ta nhận thấy rằng địa chỉ partap@gmail.com đã có người đăng ký, vậy nên anh ta chuyển sang sử dụng dịch của Mail.com với địa chỉ partap@mail.com sau đó cài đặt để chuyển tiếp (forward) mail từ địa chỉ partap@mail.com sang một địa chỉ mail khác khó nhớ hơn của Gmail. Điều này có nghĩa là khi có một email được gửi tới địa chỉ partap@mail.com thì nó sẽ tự động được chuyển tới một tài khoản Gmail khác của Davis.
Vào khoảng 2h sáng ngày 21/10, mối liên kết này đã bị phá vỡ. Có ai đó đã xâm nhập vào tài khoản Mail.com của Davis và ngắt việc chuyển tiếp. Đồng thời, có một số điện thoại lạ ở Florida được liên kết với tài khoản này. Một địa chỉ mail backup cũng được thêm vào tài khoản Mail.com này có tên swagger@mailinator.com, nó cũng là manh mối liên quan nhất tới danh tính của nghi phạm. Và để đơn giản thì chúng ta sẽ gọi nghi phạm này là Eve.
Vậy làm thế nào mà Eve đã hack được tài khoản Mail.com của Davis? Chúng tôi không biết chắc nhưng có vẻ như Eve đã sử dụng một đoạn mã lệnh để tấn công vào một lỗ hổng của trang reset password của Mail.com. Đoạn mã này đã được rao bán từ nhiều tháng nay trên diễn đàn Hackforum, cho phép reset password của một tài khoản Mail.com bất kỳ với giá chỉ $5 cho mỗi tài khoản. Vẫn chưa rõ đoạn mã này hoạt động như thế nào cũng như nó đã được vá hay chưa nhưng nó đã reset được password Mail.com của Davis thành một password mới mà chỉ có Eve mới biết.
AT&T
Việc tiếp theo của Eve là chiếm được số điện thoại nhà mạng AT&T của Davis. Việc này tưởng chừng như rất khó nhưng không phải là không thể. Eve đã nhấp vào nút "Reset Password" trên trang ATT.com và AT&T gửi lại cho hắn 1 link reset về địa chỉ partap@mail.com mà hắn đã chiếm được ở bước trên. Sau khi đã reset tài khoản AT&T online của Davis, hắn tiếp tục đăng ký dịch vụ chuyển tiếp cuộc gọi từ số điện thoại của Davis tới số điện thoại của hắn (số điện thoại này được đăng ký ở Long Beach).
Đây là bước khó khăn nhất vì để làm được việc này Eve buộc phải gọi trực tiếp lên tổng đài AT&T và xác thực bằng cách trả lời các câu hỏi của nhân viên tổng đài. Tuy nhiên, hắn đã rất khôn khéo khi thể hiện một thái độ nôn nóng, gấp gáp và giận dữ khiến cho nhân viên tổng đài buộc phải bỏ qua nhiều câu hỏi xác thực để chiều lòng khách, và cuối cùng hắn đã đạt được mục đích. Kể từ thời điểm này, mọi cuộc gọi tới máy của Davis thì Eve sẽ đều nhận được. Lưu ý là Davis vẫn nhận được tin nhắn tới số điện thoại của mình nhưng riêng đối với các cuộc gọi thoại thì anh ta sẽ không hề hay biết vì nó đã được chuyển tới Eve, cũng tương tự như việc bạn đăng ký dịch vụ chuyển tiếp cuộc gọi của Viettel ở Việt Nam vậy. Davis chỉ biết được mãi cho tới 2 ngày sau, khi sếp của anh ta phàn nàn về việc anh ta không chịu nghe máy.
GOOGLE VÀ AUTHY
Sau khi đã chiếm được tài khoản Mail.com, số điện thoại thì bước tiếp theo của Eve là tài khoản Google của Davis. Việc này tưởng chừng như không thể vì các dịch vụ của Google có cơ chế bảo mật cực kỳ cao tuy nhưng hóa ra lại vô cùng đơn giản khi Eve đã có trong tay được quyền truy cập các cuộc gọi thoại của Davis.
Cụ thể, Eve sử dụng chức năng Reset Password của Gmail, để làm được việc này thì hắn cần phải biết được địa chỉ Gmail của Davis, tuy nhiên khi đã phá được tài khoản Mail.com thì hắn có thể dễ dàng vào phần Settings để lấy được thông tin đó. Khi yêu cầu Reset Password, Google sẽ bắt Eve phải xác thực bằng mã xác nhận, tuy nhiên thay vì nhận mã qua tin nhắn thì hắn lại chọn nhận mã bằng giọng nói (một chức năng hỗ trợ người khuyết tật).
Do đó, Google sẽ gọi vào máy của Davis để đọc mã, tuy nhiên, vì Eve đã chuyển tiếp các cuộc gọi của Davis tới số điện thoại của hắn ở bước trên nên lại một lần nữa, Eve đã thành công, tiêu tùng tài khoản Gmail của Davis.
Bằng cách tương tự, hắn dễ dàng chiếm được quyền kiểm soát ứng dụng bảo mật Authy. Cụ thể hơn là hắn cài Authy vào máy hắn, đăng nhập vào Authy bằng tài khoản Mail.com đã hack được và kích hoạt cũng thông qua tính năng nhận mã bằng giọng nói. Vậy chỉ là sau hơn 1 tiếng đồng hồ, Eve đã chiếm được quyền quản lý tới 4 tài khoản của Davis (Mail.com, cuộc gọi thoại, Gmail và Authy). Ngoại trừ tin nhắn điện thoại của Davis ra thì hầu như mọi thứ đều đã thuộc về Eve.
COINBASE
Sau khi đã có trong tay những tài khoản trên, Eve dễ dàng xâm nhập vào tài khoản bitcoin Coinbase của Davis và rút hết số bitcoin mà anh ta có (đáng giá khoảng $3,600 ở thời điểm đó) về tài khoản của hắn. Để chuyển được số tiền này hắn ta đã phải thực hiện 3 lần giao dịch mà không hề gặp bất kỳ khó khăn nào. Số tiền này được chuyển tới một tài khoản của Eve (tất nhiên toàn là những thông tin giả) trước khi biến mất mãi mãi. Tất cả chỉ mất đúng 90 phút kể từ thời điểm tài khoản Mail.com của Davis bị hack ở bước đầu tiên.
BTC-E VÀ BITSTAMP
Khi Davis thức dậy, anh ta nhận thấy tài khoản Gmail của mình đã bị đăng xuất trên điện thoại một cách bất thường (do nó đã bị đổi password). Anh ta đã cố gắng để đăng nhập vào tài khoản Gmail và hiểu ra rằng password đã bị thay đổi. Rất may là Davis vẫn sử dụng được điện thoại của mình một cách bình thường và Eve cũng chưa đổi số điện thoại đăng nhập Gmail nên Davis đã chiếm lại được quyền sử dụng Gmail.
Khi đã vào được bên trong hộp thư, Davis thấy được những email reset password từ các tài khoản, nhờ đó anh ta lờ mờ nhận ra được cách thức mà Eve đã làm và những thiệt hại mà mình đang phải gánh chịu. Sau khi chiếm lại được tài khoản Coinbase, Davis thấy toàn bộ tiền ảo bitcoin của mình bị rút sạch. Để reset được tài khoản Coinbase, Davis đã phải mất nhiều giờ gọi điện thoại liên lạc với bộ phận chăm sóc khách hàng của Coinbase và phải gửi cho họ một bản fax giấy phép lái xe của mình để thuyết phục Coinbase rằng anh mới chính là Partap Davis thật sự.
Vậy còn 2 ví điện tử kia của Davis thì sao (BTC-E và Bitstamp)? May mắn là $2,500 của Davis ở 2 ví này vẫn còn nguyên vì chúng có những cơ chế bảo mật khác so với Coinbase. BTC-E thì sẽ tạm ngưng mọi hoạt động trên tài khoản 48 giờ kể từ khi thay đổi password nên Davis vẫn kịp reset account. Bitstamp thì lại yêu cầu phải có hình chụp giấy phép lái xe của Davis thì mới cho phép đổi password nên Eve đã không làm gì được, nếu không thì Davis đã phải mất tới gần $6,000 rồi.
Đã 2 tháng kể từ sau vụ tấn công, Davis đã ổn định trở lại. Dấu vết cuối cùng của cuộc đột nhập là tài khoản Twitter của Davis. Eve đã sử dụng tài khoản này vẫn với tên gọi @partap, hắn đã thay đổi avatar và xóa đi mọi dấu vết của Davis. Thậm chí hắn còn đăng hình chụp của một vụ tấn công tài khoản dịch vụ Xfinity của một ai đó và tag thêm những người khác vào. Eve lại tiếp tục những vụ tấn công khác dưới cái tên @partap, cũng giống như việc tiếp tục sử dụng một chiếc xe ăn cắp được để tiếp tục thực hiện những vụ ăn cắp khác vậy.
Ai là kẻ đứng đằng sau vụ tấn công? Davis đã mất nhiều tuần tìm kiếm nhưng vẫn không có gì khả quan. Máy tính của Eve có IP từ Canada nhưng có vẻ như Eve đã sử dụng trình duyệt ẩn danh Tor hoặc dịch vụ VPN để che đi danh tính. Số điện thoại của hắn được đăng ký với một điện thoại Android ở Long Beach, California nhưng có vẻ như đây là một cái điện thoại bị lấy cắp. Dù Eve là ai thì hắn đã thoát được.
Tại sao Eve lại chọn Davis? Có thể hắn đã biết trước được các tài khoản Bitcoin của Davis hoặc chỉ đơn giản là hắn tình cờ biết được khi lục lọi trong tài khoản Mail.com của Davis. Hắn cũng có thể biết được Davis thông qua một danh sách bị rò rỉ số điện thoại của các khách hàng của Coinbase. Có rất nhiều lý do mà danh tính của Davis có thể bị tiết lộ đâu đó không thể kiểm soát được.
Bây giờ thì Davis đã cẩn thận hơn với bitcoin, anh ta cũng bỏ hẳn dịch vụ Mail.com. Coinbase từ chối trả lại tiền cho Davis vì họ cho rằng lần này lỗi là ở phía khách hàng. Điều này cũng không sai vì rõ ràng một khi Eve đã có được số điện thoại và email của Davis thì Coinbase chẳng có lý do gì để từ chối hắn cả. Davis cũng đã nhờ tới FBI, tuy nhiên họ có vẻ không hứng thú lắm với một vụ trộm bitcoin đơn lẻ. Trong thế giới bảo mật, trường hợp của Davis được gọi là "tấn công bề mặt" (the attack surface", có nghĩa là bề mặt càng rộng (số tài khoản dịch vụ càng nhiều), thì càng khó để bảo vệ.
Lời bàn: Qua câu chuyện ly kỳ trên, các bạn có thể thấy thế giới online tuy nhiều tiện ích nhưng cũng đầy rẫy những mối nguy hiểm mà ngay cả đối với một người dùng am hiểu đôi khi cũng không thể lường trước được. Là một người dùng dịch vụ, điều duy nhất mà chúng ta có thể làm là phải cố gắng tìm hiểu các cơ chế bảo mật và cách tự bảo vệ mình đối với từng loại dịch vụ, hạn chế để lộ quá nhiều thông tin cá nhân trên mạng. Nếu bạn cảm thấy không an tâm thì ngay bây giờ hãy tiến hành thay đổi password các dịch vụ quan trọng mà mình đang sử dụng, cài đặt bảo mật 2 lớp trên điện thoại hoặc qua tin nhắn... Tuy chúng có thể sẽ làm bạn mất thời gian hơn một chút nhưng hãy nhớ "đừng để mất bò mới lo làm chuồng".
Loading...